如何建立IT内控风险预警体系？

2010年依然是一个充满变数的一年，目前全球经济正处于动荡之中。从欧洲希腊经济危机到冰岛火山危机，众多的风险和危机在警示我们：风险如影随形，无处不在。但是，目前很多企业在风险防范意识方面都存在着重视程度严重不足，在风险管控措施方面执行不到位，这使得在面对重大突发灾难时很容易陷入生存危机。即使不受突发灾难影响，由于盲目扩张、造假和管理失控等风险造成的“突然死亡事件”也不胜枚举。

居安思危，防微杜渐。近日我参加了一个上市公司CIO的专题研讨会，主题是如何建立IT内控风险预警体系。起因是2010年4月，财政部、证监会、审计署、银监会、保监会等五部门联合发布了被称为“中国版萨班斯法案”的《企业内部控制配套指引》。指引文件在第37条中明确指出要把企业内部IT风险控制建设情况纳入上市公司日常监管的范围，确保IT内控风险预警体系的执行质量。而且，为了确保上市公司IT内控风险预警体系的顺利实施，财政部等五个部门还制定了IT内控建设的实施时间表。

一.什么是IT内控风险预警体系？

风险无处不在、而且还难以度量，这使到企业很难去评估和预防风险。因此，很多时候企业在实施IT内控和风险管理时常常感到无从下手。从研讨会上众多CIO讨论的情况来看，目前国内大部分上市公司在IT内控风险预警和防范方面还存在很多模糊的认识和误解。

(1)什么是IT内控风险预警体系？

在风险管理体系中，一般包括风险管理计划、风险识别、风险定性分析、风险定量分析、风险响应和风险监控。风险管理贯穿企业各项业务的整个过程，包括事前、事中和事后。统计资料表明越早发现风险、越早采取措施，则风险管理的成本就越低，给企业带来的效益也就越大。按照1：10：100的理论，在第一个阶段控制风险的成本是1，那么如果到了第二个阶段才采取措施，它的成本就会是10，而到了第三个阶段时才采取措施的成本将会是100。因此，在风险管理领域中普遍强调风险管理的计划性和预测性。也就是说，风险预警系统可以为风险识别、风险分析、风险监控等提供强有力的手段，在整个风险管理体系中具有极其重要的地位。

为此，2010年4月财政部等五部门联合发布的“中国版萨班斯法案”《企业内部控制配套指引》在第37条明确指出“企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理”的规定。要求IT系统提供对风险事件的预警，并能及时通过各种通讯方式通知相关岗位人员。因此，通过IT内控风险控制体系来防范和降低上市公司的IT违规风险，是企业高层领导和CIO目前最迫切需要解决的难题。

(2)IT内控风险预警体系的具体内容

任何风险的出现都会有预兆，警兆是指风险发生前的先兆。通常某些指标会提前出现异常的波动，预警系统就是根据一定的原则捕捉到这些异常。因此，企业风险预警系统主要包括警源分析和警兆辨识两部分。警源分析着重分析风险发生的根源性因素;警兆辨识主要通过定量的指标体系分析法和定性描述分析法相结合的方式，提前向企业IT决策者发出预警信号。

具体来说，要实现对IT风险警兆的辨识可通过两方面来进行：一是定性分析，即通过对有关IT项目从决策到运营等方面的定性描述判别是否出现警兆;二是定量分析，即通过预警指标体系的指标计算来确定警兆是否出现。因此，风险预警指标体系包括定性指标和定量指标两部分。其中风险预警系统中的定性分析主要是通过对一些无法具体量化而又对IT项目的运行起到决定作用的关键问题进行是非判断，从而决定是否发出预警。定量分析的主要内容是对IT项目中的统计信息设立数量化指标体系，是指通过建立和运用数量化指标体系从定量的角度来分析项目是否存在潜在的风险，从而确定是否存在警兆。

一般来说，在IT内控时可能会碰到很多的风险，通常的做法是把可能的IT风险划分一个优先级，对于优先级高的风险要给以更多的关注。例如，对财务违规的IT操作流程和可能会影响上市公司股价波动的IT流程给予高优先级考虑。因此，IT体系风险评估的目的是要辨别出潜藏的IT内在风险与残存风险。通常包括风险判断标准、风险发生的可能性、风险发生的危险度、风险预防措施、风险消除措施等几个方面进行评估。为了更加形象地标识企业出现的IT风险所处的级次，应该把IT风险预警区间分为安全区(绿区)、预警区(黄区)、危机区(红区)三个区域。指标在安全区，表示发生危机的可能性较小;指标在预警区，表示存在发生危机的可能性;指标在危机区，表示发生危机的可能性较大。根据风险评估得分，对照相应的预警区间就可以快速的判断出各企业的IT风险预警警度。

在这次研讨会上，众多CIO关注的焦点是如何实现五部门联合发布的“中国版萨班斯法案”《企业内部控制配套指引》第37条。也就是：为使预警功能得到正常充分的发挥，企业应如何建立预警机制。包括信息收集/传递机制、预警分析机制、危机分析机制以及危机处理机制。总结这次研讨会的发言，CIO们一致的认为预警系统的建立有几个关键核心：①是确定预警的指标和判断预警的警戒线，因为预警分析一般包括预警指标和预警指标的临界点等两个要素，一旦评测指标超过临界点，应急计划则应马上启动。②IT预警系统的核心是高效的风险分析机制，是指通过风险分析迅速对影响的因素作出判断，从而可以把主要精力放在有可能造成重大影响的警情上。③预先制定危机处理机制，主要包括应急措施、补救方法、改进方案，并在分析清楚危机后应立即采取消除措施，以减少危机带来的损失。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友